Re: SSD-Festplattenverschluesselung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 25 Sep 2012 17:01:48 +0200 (CEST)



Peter Ross wrote:


 > nur eine kurze Frage, angeregt durch die Datenentsorgungsdiskussion 


 > zuletzt, und einen Heise-Artikel ber eine SSD-Platte, die 


 > AES-Verschlüsselung anbietet:


 > 


 > http://www.heise.de/newsticker/meldung/Samsung-SSD-840-Pro-Schneller-und-stromsparender-1715212.html


 > 


 > Wie wird der Schlüssel gehandhabt?



Gar nicht.  :-)



 > Ist das Feature unter FreeBSD nutzbar?



Da man nichts Spezielles machen muss, ist es vom Betriebs-


system völlig unabhängig.



Die Verschlüsselung wird in dem Artikel nur am Rande erwähnt,


daher ist es nicht ganz eindeutig, aber vermutlich ist SED


gemeint (self-encrypting drive), auch Hardware-FDE genannt


(full-drive encryption).  Das wird schon seit einiger Zeit


von diversen Festplatten und auch SSDs gemacht (meist "nur"


AES-128).  Vom Hersteller wird dabei werksseitig ein Key


eingestellt (für jedes Laufwerk natürlich ein anderer).



Mit anderen Worten:  Diese Laufwerke verschlüsseln die Daten


*immer*, man braucht es nicht einzuschalten, und man kann es


auch nicht ausschalten.  Es passiert vollkommen transparent.



Bei manchen Laufwerken gibt es auch die Möglichkeit, den Key


zu ändern.  Wenn ich mich richtig erinnere, gibt es z.B. von


Seagate ein Windows-Tool dafür.  Aber notwendig ist das


eigentlich nicht.



Da bei SED transparent ver- und entschlüsselt wird, nützt


das natürlich nur dann etwas, wenn man zusätzlich auch den


Zugriff per ATA Security Password beschränkt.  Dies erfordert


BIOS-Support, um beim Booten das Passwort abzufragen und an


das Laufwerk zu senden.  Gesetzt werden kann das Passwort


ebenfalls per BIOS (wenn es eine solche Funktion hat), oder


auch per ATA-Command vom Betriebssystem aus.  Auch hierfür


gibt es Tools von verschiedenen Herstellern, unter Linux


kann man es mit hdparm machen, und unter FreeBSD theoretisch


mit camcontrol.  Habe ich aber noch nicht ausprobiert.



Es ist wichtig, sich klarzumachen, dass SED und ATA Security


zwei verschiedene Dinge sind, die unabhängig voneinander


funktionieren, sich aber so ergänzen, dass sie gemeinsam


Sinn ergeben.  Ersteres verschlüsselt den Datenträger


(zwischen Laufwerkscontroller und physikalischem Speicher,


d.h. Magnetplatten bzw. Flash-Zellen), letzteres regelt


den Zugriff vom Host auf den Laufwerkscontroller.



Man muss allerdings hinzufügen, dass ATA Security ein paar


Schwachpunkte hat, die unter bestimmten Umständen theoretisch


eine Umgehung des Passworts ermöglichen.  Falls es einem


nicht sicher genug ist, muss man dann doch zu einer Software-


lösung wie GELI greifen.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"To this day, many C programmers believe that 'strong typing'
just means pounding extra hard on the keyboard."
        -- Peter van der Linden
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 25 Sep 2012 - 17:02:00 CEST













search this site